PDA

Просмотр полной версии : RootkitRevealer



Dr.Xmas
25.02.2005, 15:12
на известном сайте microsoft выложен проект, посвящённый поиску руткитов. подробнее (http://www.microsoft.com/rus/technet/sysinternals/utilities/rootkitrevealer.mspx)

kps
25.02.2005, 17:17
1) Если я правильно понял из описания - эта утилита может только детектировать руткиты (и то - как они признаются - не все), но не может их обезвредить.
2) It runs on Windows NT 4 and higher.
А есть руткиты, которые прекрасно работают под Win98 :)

Зайцев Олег
25.02.2005, 17:23
1) Если я правильно понял из описания - эта утилита может только детектировать руткиты (и то - как они признаются - не все), но не может их обезвредить.
2) It runs on Windows NT 4 and higher.
А есть руткиты, которые прекрасно работают под Win98 :)

Угу, я сначал пошел по пути Sysinternals, но потом плюнул, т.к.
1. Мало найти, нужно еще и обезвредить (а это намного сложнее)
2. Не все руткиты прячут свои файлы/ключи - многие блокируют их удаление (но не прячут). Более того, "прятанье" идет зачастую на разном уровне и для разных функций
3. Масса "руткитов" (точнее троянов с руткит-функцией) универсальна, и работает в Win98 - такой принцип детектирования там не проходит.
4. Драйвер не дает гарантии от перехвата SDT ...

А так программа работает, как и все от SysInternals ... приницип типовой - построение списка файлов/ключей реестра средствами API и напрямую через драйвер.

egik
14.04.2005, 19:03
ну допустим она там, что-то нашла и что дальше?

Зайцев Олег
14.04.2005, 19:52
ну допустим она там, что-то нашла и что дальше?

Дальше это нужно распечатать список наденного, снять HDD, подключить его к чистому ПК и попробовать найти указанные файлы. Иного пути в случае с RootkitRevealer нет, т.к. он детектирует маскирующиеся файлы, но не может блокировать работу руткита. Можно попробовать далее запустить мой AVZ и скомандовать ему блокировать руткит - есть неплохие шансы, что он его деактивирует ... кстати, AVZ и RootkitRevealer в этом плане отлично дополняют друг друга, т.к. в них применяются совершенно разные технологии поиска руткитов.

egik
14.04.2005, 20:03
а переустановка системы, помогает?
а пока запущу твой АВЗ :)

Зайцев Олег
14.04.2005, 20:13
а переустановка системы, помогает?
а пока запущу твой АВЗ :)

Переустановка поверх - нет, а вот удаление системы (желательно с форматирование диска, но как минимум удаление папки Windows и ProgramFiles) - да. Но только перед радикальными мерами нужно сначала понять, руткит ли это - стоит запостить логи RootkitRevealer + AVZ сюда на анализ ...

egik
14.04.2005, 20:16
сделаю, вот АВЗ молчит ничего не находит, ???

Зайцев Олег
14.04.2005, 22:17
сделаю, вот АВЗ молчит ничего не находит, ???

Может тогда и нет ничего ?? У меня на чистом ПК RootkitRevealer находит штук 30 якобы скрытых ключей реестра. Так что однозначно нужен его лог, посмотрим ... тут как и с моим антикейлоггером в AVZ - фиксируется факт того, что что-то не так - а делее нужно анализировать, с чем это связано и насколько это опасно.

Гость
08.07.2005, 20:01
Что значит "ошибка загрузки драйвера"? Какого драйвера?
Из лога АВЗ:
"1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана"

Зайцев Олег
08.07.2005, 21:41
Что значит "ошибка загрузки драйвера"? Какого драйвера?
Из лога АВЗ:
"1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана"

В данном случае понимается сдрайвер AVZ.SYS, применяемый AVZ для совершений операций в режимя ядра. Причины - старый AVZ, запуск AVZ с сетевого диска, запуск не из под админа (не хватает прав для установки/запуска драйвера) ...

Гость
09.07.2005, 08:13
Если в АВЗ выбрать "Блокировать работу RootKit Kernel-Mode", то после перезагрузки восстанавливается нормальная работа антивирусов, фаерволов и т.д.?

pig
09.07.2005, 11:09
Восстанавливается. Всё противодействие происходит исключительно в оперативной памяти, долговременные настройки не меняются.